保護(hù)企業(yè)網(wǎng)絡(luò)安全面臨巨大挑戰(zhàn),因為企業(yè)網(wǎng)絡(luò)內(nèi)的主機(jī)可達(dá)數(shù)百上千臺,而罪犯僅需入侵其中一臺,即可覬覦收獲整個網(wǎng)絡(luò)。安全公司數(shù)十年來都在努力保護(hù)計算機(jī)網(wǎng)絡(luò),用盡各種方法確保(或者說試圖確保)沒有任何一臺計算機(jī)被感染。
剛開始的時候,這很容易,威脅數(shù)量極少,能夠識別全部威脅便已足夠。但后來隨著惡意軟件的進(jìn)化,成為反病毒公司的噩夢,因為這會消耗專家研究員數(shù)天甚至數(shù)周時間,才能創(chuàng)建新的檢測規(guī)則。
隨著互聯(lián)網(wǎng)的崛起,金錢成為網(wǎng)絡(luò)罪犯的動機(jī)。黑客攻擊能力提升巨大,無論在規(guī)模還是復(fù)雜性方面都如此。過去,一款病毒要數(shù)周或數(shù)月,才能從洛杉磯傳播到紐約?,F(xiàn)在,互聯(lián)網(wǎng)上,數(shù)秒之內(nèi)病毒就能從華盛頓傳到東京。滲透防御和隱藏惡意軟件的新技術(shù),讓威脅能夠在企業(yè)網(wǎng)絡(luò)中駐留更長時間。而安全公司,被迫再次做出調(diào)整適應(yīng)。
黑名單,是傳統(tǒng)反病毒公司用來對抗網(wǎng)絡(luò)犯罪的一種戰(zhàn)術(shù)。黑名單有著幾十年的經(jīng)驗,包含準(zhǔn)確的病毒特征檢測,能夠有效檢測億萬惡意軟件樣本。但不利的一面是,黑名單有很多不確定性。它們的目標(biāo)是找出惡意軟件,任何被認(rèn)為是非惡意的東西都被允許運行。盡管安全廠商和客戶都不清楚什么是“非惡意”,這些“非惡意的東西”又都干些什么。
為彌補(bǔ)該不確定性,我們又看到了白名單戰(zhàn)術(shù)。白名單因只允許好軟件在系統(tǒng)中執(zhí)行而很有效果。然而,就像黑名單一樣,該方法也有缺陷,比如被植入了木馬的程序。
黑名單和白名單都曾輝煌一時,但在高級威脅時代,單純依靠黑/白名單是行不通的。萬一攻擊根本不涉及惡意軟件呢?那這兩種方法就都失效了,因為他們根本就是一體兩面,都只是在消除惡意軟件而已。網(wǎng)絡(luò)罪犯可以嘗試千萬次,而一旦一次成功,他們就贏了。這可不是一場公平競賽,我們的解決方案需要進(jìn)化,要領(lǐng)先一步。
今年的威瑞森數(shù)據(jù)泄露調(diào)查報告中,他們涵蓋了安全事件及攻擊者使用的不同戰(zhàn)術(shù)。僅51%的案例中使用了惡意軟件,一半都根本沒涉及到惡意軟件!這意味著,黑名單和白名單兩種方法都毫無作用,保護(hù)不了你的公司。
那么,我們現(xiàn)在開始該怎么做呢?企業(yè)未來的高級網(wǎng)絡(luò)安全解決方案應(yīng)該怎樣做呢?
1. 所有文件分類使用
黑名單:如上文解釋的,這些技術(shù)有其局限性,但同時,它們在執(zhí)行檢測惡意軟件的工作上又十分突出;
白名單:有了它,我們可以摒除黑名單導(dǎo)致的不確定性。
2. 自動化
分類所有文件的唯一可擴(kuò)展&可行方法,就是通過自動化,可提供最佳可能準(zhǔn)確率。
3. 實時監(jiān)測
攻擊者已經(jīng)能很成功地利用好軟件,所有我們需要知道每臺電腦上實時發(fā)生的所有事,包括無惡意軟件攻擊檢測。
4. 取證
無論我們做得有多好,無論罪犯終會入侵計算機(jī),我們不可能總是勝過他們。這就是為什么要有這最后一個組件的原因。一旦檢測到安全事件,在取證的支持下,我們可以回答所有需要被回答的問題:發(fā)生了什么?什么時候發(fā)生的?攻擊者是怎么進(jìn)來的?他們做了什么?
納入所有這些組件對安全廠商而言是一場艱苦的戰(zhàn)斗,但作為一個行業(yè),我們知道過去對抗最復(fù)雜的網(wǎng)絡(luò)攻擊需要付出什么。如今,這就是個執(zhí)行問題,是企業(yè)認(rèn)識到安全對自身目標(biāo)重要性的問題。